又麻烦大家了，再次请求帮忙脱壳。用Peid无法扫描出来-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
benladen 雪币： 2260 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 268 粉丝 0 关注私信	benladen 2004-8-27 13:19 2 楼 0 放2个截图。
benladen 雪币： 2260 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 268 粉丝 0 关注私信	benladen 2004-8-27 13:53 3 楼 0 请问是用什么加的壳？
benladen 雪币： 2260 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 268 粉丝 0 关注私信	benladen 2004-8-27 13:59 4 楼 0 用OD加载
hmimys 雪币： 239 活跃值： (473) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 356 粉丝 0 关注私信	hmimys 2 2004-8-27 16:49 5 楼 0 mew11这个壳在工具区里有! 容易脱的很!F8往下走,下面RETN就返回OEP了!
benladen 雪币： 2260 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 268 粉丝 0 关注私信	benladen 2004-8-27 17:19 6 楼 0 找到OEP了，用ImportREC重建后无法运行
lucktiger 雪币： 5180 活跃值： (2122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 259 粉丝 1 关注私信	lucktiger 2004-8-27 17:45 7 楼 0 dump时不要选择建立输入表。
benladen 雪币： 2260 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 268 粉丝 0 关注私信	benladen 2004-8-27 17:48 8 楼 0 还是不行
benladen 雪币： 2260 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 268 粉丝 0 关注私信	benladen 2004-8-27 17:57 9 楼 0 有人能脱完后发给我吗
oinion 雪币： 218 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 0 关注私信	oinion 2004-10-25 12:23 10 楼 0 试试OEP=001518 RVA=109324 Size=DF4 用ImportREC重建后即可运行!
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 2004-10-26 20:02 11 楼 0 004014F8 /EB 10 jmp short RepMaste.0040150A 004014FA \|66:623A bound di, dword ptr ds:[edx] 004014FD \|43 inc ebx 004014FE \|2B2B sub ebp, dword ptr ds:[ebx] 00401500 \|48 dec eax 00401501 \|4F dec edi ; RepMaste.00560000 00401502 \|4F dec edi ; RepMaste.00560000 00401503 \|4B dec ebx 00401504 \|90 nop 00401505 -\|E9 98005600 jmp 009615A2 0040150A \A1 8B005600 mov eax, dword ptr ds:[56008B] 0040150F C1E0 02 shl eax, 2 00401512 A3 8F005600 mov dword ptr ds:[56008F], eax 00401517 52 push edx ; ntdll.KiFastSystemCallRet 00401518 6A 00 push 0 0040151A E8 79D81500 call RepMaste.0055ED98 ; jmp to kernel32.GetModuleHandleA oep= 14f8 还有楼上的size怎么得来的?
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 2004-10-26 20:08 12 楼 0 00590324 00000000 00590328 7C809B77 kernel32.CloseHandle 0059032C 7C810CF1 kernel32.CompareFileTime 00590330 7C80D293 kernel32.CompareStringA 00590334 7C826219 kernel32.CreateDirectoryA 590328-400000=190324
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 2004-10-26 20:12 13 楼 0 试验证明: OEP = 14f8或者1517都行用OllyDBG自带的脱壳方式1和2和LoadPE脱壳,然后用ImpoetREC修复: RVA=109328 Size=1000(我懒得计算,填大了一点) 结果都可执行!
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 2004-10-26 20:17 14 楼 0 这应该算是一个压缩壳吧?
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (13)
benladen 雪币： 2260 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 268 粉丝 0 关注私信	benladen 2004-8-27 13:19 2 楼 0 放2个截图。
benladen 雪币： 2260 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 268 粉丝 0 关注私信	benladen 2004-8-27 13:53 3 楼 0 请问是用什么加的壳？
benladen 雪币： 2260 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 268 粉丝 0 关注私信	benladen 2004-8-27 13:59 4 楼 0 用OD加载
hmimys 雪币： 239 活跃值： (473) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 356 粉丝 0 关注私信	hmimys 2 2004-8-27 16:49 5 楼 0 mew11这个壳在工具区里有! 容易脱的很!F8往下走,下面RETN就返回OEP了!
benladen 雪币： 2260 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 268 粉丝 0 关注私信	benladen 2004-8-27 17:19 6 楼 0 找到OEP了，用ImportREC重建后无法运行
lucktiger 雪币： 5180 活跃值： (2122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 259 粉丝 1 关注私信	lucktiger 2004-8-27 17:45 7 楼 0 dump时不要选择建立输入表。
benladen 雪币： 2260 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 268 粉丝 0 关注私信	benladen 2004-8-27 17:48 8 楼 0 还是不行
benladen 雪币： 2260 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 268 粉丝 0 关注私信	benladen 2004-8-27 17:57 9 楼 0 有人能脱完后发给我吗
oinion 雪币： 218 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 0 关注私信	oinion 2004-10-25 12:23 10 楼 0 试试OEP=001518 RVA=109324 Size=DF4 用ImportREC重建后即可运行!
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 2004-10-26 20:02 11 楼 0 004014F8 /EB 10 jmp short RepMaste.0040150A 004014FA \|66:623A bound di, dword ptr ds:[edx] 004014FD \|43 inc ebx 004014FE \|2B2B sub ebp, dword ptr ds:[ebx] 00401500 \|48 dec eax 00401501 \|4F dec edi ; RepMaste.00560000 00401502 \|4F dec edi ; RepMaste.00560000 00401503 \|4B dec ebx 00401504 \|90 nop 00401505 -\|E9 98005600 jmp 009615A2 0040150A \A1 8B005600 mov eax, dword ptr ds:[56008B] 0040150F C1E0 02 shl eax, 2 00401512 A3 8F005600 mov dword ptr ds:[56008F], eax 00401517 52 push edx ; ntdll.KiFastSystemCallRet 00401518 6A 00 push 0 0040151A E8 79D81500 call RepMaste.0055ED98 ; jmp to kernel32.GetModuleHandleA oep= 14f8 还有楼上的size怎么得来的?
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 2004-10-26 20:08 12 楼 0 00590324 00000000 00590328 7C809B77 kernel32.CloseHandle 0059032C 7C810CF1 kernel32.CompareFileTime 00590330 7C80D293 kernel32.CompareStringA 00590334 7C826219 kernel32.CreateDirectoryA 590328-400000=190324
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 2004-10-26 20:12 13 楼 0 试验证明: OEP = 14f8或者1517都行用OllyDBG自带的脱壳方式1和2和LoadPE脱壳,然后用ImpoetREC修复: RVA=109328 Size=1000(我懒得计算,填大了一点) 结果都可执行!
great1234 雪币： 16 能力值： (RANK：10 ) 在线值：发帖 18 回帖 523 粉丝 1 关注私信	great1234 2004-10-26 20:17 14 楼 0 这应该算是一个压缩壳吧?
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复